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(JOACHIM MUSCHENBORN 



Schutz von sicherheitskritischen 
Daten in Netzwerken 



Beschreibung 

Die Erfindung betrifft den Schutz von sicherheitskritischen Daten in Netzwerken gemaB 
einem der Anspruche 1 bis 34. 

In modernen Netzwerken besteht haufig das Problem. daB bestimmte Daten, wie zum 
Beispiel Autorisierungsdaten oder Kundenkonti, fur den Betrieb des Netzwerkes zwin- 
gend erforderlich sind und im Netzwerk verfugbar sein mussen, die Daten jedoch gleich- 
zeitig besonders sicherheitskritisch sind und nur einem begrenzten Benutzerkreis 
zuganglich sein oder von einem begrenzten Benutzerkreis manipuliert werden diirfen. 
Das Problem gilt gleichermaQen fur rein private Netzwerke, wie z.B. firmeninterne Intra- 
nets, als auch in verstarktem Mafie in offentlich zuganglichen Netzen, wie z.B.: des Inter- 
nets. Daruberhinaus sind viele Firmen auch im Internet vertreten und mussen bei 
schlechter Abgrenzung ihrer internen Netze Einbruche aus offentlichen Netzen befurch- 
ten. Die wirtschaftlichen Schaden konnen, je nach Qualitat der gehackten Daten, sogar 
existenzbedrohend fur ein betroffenes Unternehmen werden. 

Ursache vieler gegluckter Hackerangriffe ist dabei die Tatsache, daB moderne Netz- 
werke nach dem Client/Server-Modell aufgebaut sind und viele Server-Einheiten zum 
Teil eine sehr hohe Zahl von Server-Prozessen mit entsprechend vieten freien Verbin- 
dungsendpunkten bereitstellen. Da jeder freie Verbindungsendpunkt eines Servers auch 
ein potentieller Angriffspunkt eines boswilligen Clients ist, nimmt das Risiko eines Ein- 
bruches mit zunehmender Anzahl von freien Verbindungsendpunkten zu. 
Das Sicherheitsrisiko laBt sich nur durch konsequente Reduzierung der Anzahl von 
freien Verbindungsendpunkten und damit von Server-Prozessen verringern, was jedoch 
dem Client/Server-Prinzip widerspricht. Eine Losung dieses Problems bietet die vorlie- 
gende Erfindung. 



Nach dem Stand der Technik erfolgt der logische Verbindungsaufbau in Netzwerken 
nach dem Client/Server Prinzip wie folgt: 

Eine durch eine eindeutige physikalische Kennung identifizierte Einheit fuhrt einen 
Thread (Server genannt) aus, der mindestens einen logischen Verbindungsendpunkt zur 
Verfugung stellt, welcher Endpunkt auf der den Server ausfuhrenden Einheit durch eine 
lokale Kennung eindeutig identifiziert ist, und wartet anschlieBend bis ein anderer 
Thread (Client), welcher auf derselben Oder einer anderen Einheit ausgefuhrt wird, eine 
Verbindung zu diesem Endpunkt anfordert. Vorausgesetzt die Einheiten, auf welchen 
Server und Client ausgefuhrt werden, sind physikalisch miteinander verbunden, benotigt 
der Client zum Verbindungsaufbau einerseits die eindeutige Identifikation der Einheit, 
auf welcher der Server ausgefuhrt wird, und andererseits die auf der Servereinheit lokal 
eindeutige Kennung des Verbindungsendpunktes, welchen der Server zur Verfugung 
stellt. Beide Informationen zusanrimen genugen, um den Verbindungendpunkt eines Ser- 
vers im gesannten Netzwerk eindeutig zu identifizieren. Hat ein Server eine Verbindungs- 
anforderung eines Clients empfangen, entscheidet der Server uber die Annahme Oder 
Ablehnung der Anforderung. Eine Verbindung kommt nur zustande, wenn der Server die 
Anfordenjng gegebenenfalls nach einer positiv ausgefallenen Uberprufung der Zugangs- 
berechtigung des Clients annimmt. Fallt die Uberprufung der Zugangsberechtigung des 
Clients negativ aus, bricht der Server den Verbindungsaufbau ab und es kommt keine 
Verbindung zustande. Nach diesem Mechanismus sind ausschlieBlich logische Punkt- 
zu-Punkt Verbindungen zwischen einem Client und einem Server aufbaubar, Logische 
Verbindungen zwischen zwei Clients, zwei Servern Oder mehr als zwei Clients und/oder 
Servern sind nicht mbglich. 

Eine Verbindung zwischen Client und Server kann sowohl nur fur eine einzige Transak- 
tion (temporare Verbindung) als auch dauerhaft liber langere Zeitraume (stehende Ver- 
bindung) bestehen. Nach AbschluB aller Transaktionen wird die Verbindung von einem 
der beiden Transaktionspartnern geschlossen, woraufhin der andere Partner seinerseits 
die Verbindung schlieBt. 

Ein typisches Beispiel solcher Netzwerke ist das Internet Oder Internet-ahnliche Intra- 
nets, welche aus mehreren freiprogrammierbaren, physikalisch vernetzten Rechenma- 
schinen bestehen. Die Steuerung einer jeden Rechenmaschine erfolgt durch ein 
Betriebssystem, der Netzwerk- sowie der Anwendungsprogramme. Homogene Systeme 
umfaBen gleich- oder verschiedenartige Rechenmaschinen welche von gleichartigen 
Betriebssystemen gesteuert werden. Heterogene Systeme bestehen aus gleich- oder 
verschiedenartigen Rechenmaschinen welche durch gleich- oder verschiedenartige 
Betriebssysteme gesteuert werden. Die Netzwerkprogramme sind typischerweise nach 
dem ISO/OSI-Modell aufgebaut, verwenden das UDP/IP- oderTCP/IP-Protokoll und die- 



nen zum Informationsaustausch zwischen verschiedenen Softwarekomponenten, wel- 
che auf derselben Oder verschiedenen gleich- oder verschiedenartigen 
Rechenmaschinen ausgefuhrt werden. 

Typische Vertreter, welche nach dem beschriebenen Client/Server-Prinzip arbeiten, sind 
die Betriebsysteme Unix, Windows NT, OS/2 Oder NetWare, sowie die Middleware DCE, 
TUXEDO Oder CORBA. 

Folgende Punkte wirken sich besonders nachteilig auf die Sicherheit eines Netzwerksy- 
stenns nach dem Client/Server-Prinzip aus: 

1 . Jeder freie Verbindungsendpunkt eines Servers, welcher auf einer mit einem Netz- 
werk verbundenen Einheit ausgefuhrt wird, ist ein potentieller Angriffspunkt fur bos- 
willige Clients. Stellt eine Einheit mehrere Verbindungsendpunkte eines oder 
mehrerer Server zur Verfugung, ist jeder einzelne Verbindungsendpunkt ein poten- 
tieller Angriffspunkt. 

2. Die Sicherheit des Gesamtsystems ist durch die Sicherheit des schwachsten Ser- 
vers gegeben und nimmt mit zunehmender Anzahl von Servern ab. 

3. Nach dem Stand derTechnik werden im Internet alle Funktionalitaten, welche eine 
Einheit im Netzwerk zur Verfugung stellt, als Server realisiert. Dies fuhrt in der Pra- 
xis auf einzelnen Einheiten zu sehr vielen Servern mit entsprechend vielen freien 
Verbindungsendpunkten. 

4. Ein wohldefinierter, einheitlicher Sicherheitstandard eines Gesamtsystems kann 
nur dann garantiert werden, wenn jeder einzelne Server denselben Sicherheitstan- 
dard bietet. 

In der Praxis ist ein einheitlicher Sicherheitstandard nur mit sehr hohem wirtschaftlichen 
Aufwand erreichbar, da jeder einzelne Server 

1 . die erforderlichen Sicherheitsmechanismen implementieren muB, 

2. die Sicherheitsmechanismen jedes einzelnen Servers getestet und verifiziert wer- 
den miissen, 

3. im laufenden Betrieb der Zugang zu jedem einzelnen Server standig uberwacht 
werden mu0, und 

4. im laufenden Betrieb jede einzelne Transaktion eines Clients mit einem Server 
uberwacht und autorisiert werden muf3. 

Werden daruberhinaus einer oder mehrere Server von Lieferanten bezogen, kommen 
Probleme bezCiglich der Geheimhaltung des (internen) Sicherheitsstandards, der Verfug- 
barkeit des Quellcodes der Server (zur Modifikation und/oder Verifikation) und/oder der 
Haftung im Schadensfall hinzu. 




Die zugrundeliegende Aufgabe der Erfindung liegt darin, sicherheitskritische Daten der- 
ail in Netzwerken bereitzustellen. daB ein unkontrollierter Zugriff technisch unmoglich 
ist. 

Zur Losung dieser Aufgabe bieten sich nach dem Stand der Technik physikalisch 
getrennte Netzwerke an. die durch Firewalls Oder Proxy-Server gegenseitig geschutzt 
sind. Firewalls kontrollieren jedoch nur den Verbindungsaufbau zwischen Clients und 
Servern aus physikalisch getrennten Netzwerken und bieten nicht die Moglichkeit nach 
dem erfolgreichen Verbindungsaufbau einzelne Transaktionen auf logischer Ebene zu 
uberwachen. Proxy-Server hingegen bieten diese Moglichkeit, fCihren jedoch nach positi- 
ver Autorisierungsuberprtifung selbst als Client eigene temporare Transaktionen mit 
nachgeschalteten (geschutzten) Servern aus. Beide Losungen haben den Nachteil, dal3 
die sicherheitskritlschen Daten auf Einheiten gespeichert sind, auf denen mindestens ein 
Sen/er-ProzeB ausgefuhrt wird, der jederzeit mindestens einen freien Verbindungsend- 
punkt bereitstellt. 

Das vorliegende Patent lost die gestellte Aufgabe mit Hilfe eines Netzwerkes nach dem 
Oberbegriff des Anspruchs 1 dahingehend, daB erstens auf Einheiten, welche sicher- 
heitskritische Daten speichern - sicherheitskritische Einheiten genannt - entweder gar 
kein Sen^er-ProzeB ausgefuhrt wird und der Service als Client eine Verbindung zu min- 
destens einer als Server realisierten Zentrale aufbaut, oder daB der Service als Server 
nur vordefinierte stehende logische Verbindungen von mindestens einer als Client reali- 
sierten Zentrale akzeptiert und nach deren Aufbau keine freien Verbindungsendpunkte 
bereitstellt, so daB der Service keine weiteren Verbindungen akzeptieren kann. Da uber 
die vordefinierten Verbindungen keine weiteren Verbindungen zu einer sicherheitskritl- 
schen Einheit aufgebaut werden konnen, ist ein unkontrollierter Zugang zu der sicher- 
heitskritischen Einheit technisch unmoglich. Die sicherheitskritischen Daten stehen 
—^Pl dennoch uber die vordefinierten Verbindungen unter der Kontrolle mindestens eines Ser- 
vices und mindestens einer Zentrale in Netz zur Verfugung. 

In einem Netzwerksystem nach Anspruch 2 erhalt mindestens ein PeripherieprozeB die 
Moglichkeit mit Kenntnis der logischen Kennung, welche die Zentrale mindestens einer 
Gruppe von Services zuordnet, mit mindestens einem Service aus dieser Gruppe iiber 
die Zentrale indirekt zu kommunizieren, 

Abbildung 1 zeigt ein Ausfuhrungsbeispiel eines Netzwerksystems nach Anspruch 1 
Oder 2 bestehend aus einer Einheit ZE, welche iiber ein Netzwerkinterface mit Adresse 
IP und den physikalischen Verbindungen PC11, PCI 2, PC21 und PC22 mit Einheiten 
SE, PE11, PE21 und PE22 verbunden. 

Einheit ZE fuhrt einen ZentralprozeB Z aus, welcher Verbindungen von Prozessen auf 
SE, PE11, PE21 und PE22 akzeptieren kann. Einheit SE speicherl sicherheitskritische 



Daten SD. welche im gesamten Netzwerk kontrolliert zur Verfugung gestellt werden sol- 
len. Dazu fuhrt SE einen ProzeB S - sicherheitskritischer Service genannt - aus, welcher 
eine stehende logische Verbindung zu ProzeS Z auf ZE unterhalt. Dartiberhinaus stellt S 
keine freien Verbindungsendpunkte zur Verfugung, akzeptiert keine Verbindungsanfor- 
derungen und baut keine weiteren logischen Verbindungen auf. AuBer S fCihrt SE keine 
weiteren Thread aus, welche logische Verbindungen aufbauen, akzeptieren oder unter- 
halten. Die Verbindung zwischen S und Z ist somit die einzigste logische Verbindung zu 
SE, so daB Daten SD nur uber diese Verbindung (unter Kontrolle von S und Z) erreicht 
werden konnen. 

Peripherieprozesse PI 2 bzw. P21&P22 bauen jeweils eine stehende logische Verbin- 
dung zu Z auf und erhalten uber diese Verbindung die Moglichkeit via Z mit S zu komm- 
unizieren. Dabei bestimmt Z, welche Nachrichten von einem der Peripheheprozesse an 
S und von S an einen der Peripherieprozesse weitergeleitet werden, sowie S die Funk- 
tionalitat und Art des Zugriffes auf die geschiitzten Daten SD. 

Ein Netzwerk nach Anspruch 3 ist zusatzlich in mindestens zwei Segmente aufgeteilt, 
wobei Nachrichten zwischen den Segmenten nicht geroutet werden, die sicherheitskriti- 
sche Daten speichernde Einheit SE als Bestandteil eines Segmentes - sicherheitskriti- 
sches Segment genannt - von Einheiten aus anderen Segmenten - unkritische 
Segmente genannt - nicht erreicht werden kann und eine Zentrale den Verkehr zwischen 
den unkritischen und kritischen Segmenten kontrolliert. Diese Losung bietet dreifachen 
Schutz der sicherheitskritischen Daten: 

1. aus keinem Segment ist technisch ein Angriff auf die sicherheitskritischen Daten 
unter Umgehung der Zentrale und des sicherheitskritischen Services moglich, da 
die sicherheitskritische Einheit nur vordefinierte Verbindungen besitzt und keinen 
Thread ausfuhrt, welcher einen freien Verbindungsendpunkt fur einen boswilligen 
Peripheriethread bereitstellt, 

2. der unkontrollierte direkte Zugriff auf die sicherheitskritische Einheit ist zusatzlich 
fur alle Threads aus unkritischen Segmenten unmoglich, da Nachrichten zwischen 
sicherheitskritischen und unkritischen Segmenten nicht geroutet werden und 

3. Nachrichten aus sicherheitskritischen Segmenten werden nicht durch unkritische 
Segmente geroutet, so daB sie auch nicht durch direktes Netzwerk-"Sniffen" in 
unkritischen Segmenten abgehort werden konnen. 

Abbildung 2a zeigt ein Ausfuhrungsbeispiel eines Netzwerksystems nach Anspruch 3 
bestehend aus zwei getrennten Netzwerksegmenten N1 (sicherheitskritisch) und N2 
(unkritisch). Nachrichten zwischen N1 und N2 werden nicht geroutet, so daB Einheiten 
des Segmentes N1 keine direkten Verbindungen zu Einheiten des Segmentes N2 auf- 



bauen konnen. Einheit ZE ist jeweils uber ein eigenes Netzwerkinterface mit Adresse IP1 
bzw. IP2 sowohl mit Segment N1 als auch Segment N2 verbunden. Einheiten SE&PE11 
in N1 sind uber die physikaiischen Verbindungen PC1 1/1 2 mit dem Netzwerkinterface 
IP1 der Einheit ZE verbunden. Einheiten PE21&PE22 in N2 sind uber die physikaiischen 
Verbindungen PC21/22 mit dem Netzwerkinterface IP2 der Einheit ZE verbunden. 
Einheit ZE fuhrt einen ProzeB Z aus, welcher uber IP1 bzw. IP2 Verbindungen von Pro- 
zessen aus N1 wie N2 akzeptieren kann. Einheit SE speichert sicherheitskritische Daten 
SD, welche im gesamten Netzwerk (N1 & N2) venvendet Oder kontrolliert zur Verfugung 
gestellt werden sollen. Dazu fuhrt SE einen ProzeB S - sicherheitskritischer Service 
genannt - aus, welcher uber die physikalische Verbindung PC11 sowie das Netzwerkin- 
terface IP1 eine stehende logische Verbindung zu ProzeB Z auf ZE unterhalt. DarCiber- 
hinaus stellt S keine freien Verbindungsendpunkte zur Verfugung, a!<zeptiert keine 
Verbindungsanforderungen und baut keine weiteren logischen Verbindungen auf. AuBer 
S fuhrt SE keine weiteren Prozesse aus, welche logische Verbindungen aufbauen, 
akzeptieren oder unterhalten. Die Verbindung zwischen S und Z ist somit die einzigste 
logische Verbindung zu SE, so daB Daten SD nur uber diese Verbindung (unter Kontrolle 
von S und Z) erreicht werden konnen, 

Peripherieprozesse P12 bzw. P21&P22 bauen uber die physikaiischen Verbindungen 
PCI 2 bzw. PC21&22 sowie das Netzwerkinterface IP1 bzw. IP2 jeweils eine stehende 
logische Verbindung zu Z auf und erhalten uber diese Verbindungen die Moglichkeit via 
Z mit S zu kommunizieren. Dabei bestimmt Z, welche Nachrichten von einem der Peri- 
pherieprozesse an S und von S an einen der Peripherieprozesse weitergeleitet werden, 
sowie S die Funktionalitat und Art des Zugriffes auf die geschutzten Daten SD. 
In Netzwerksystemen nach Anspruchen 4 und 5 muB ein verbindungswilliger Periphe- 
riethread nach erfolgtem Verbindungsaufbau der Zentrale zusatzliche Zugangsdaten, 
wie Z.B.: seine Identitat und sein Passwort, ubermittein, so daB die Zentrale (Anspruch 
4) Oder ein isolierter Autorisierungsservice (Anspnjch 5) die Zugangsberechtigung des 
Peripheriethreads uberprufen kann und bei negativem Ausfall der Zugangsuberprufung 
die Verbindung zu dem Peripheriethread abbricht. Besonders vorteilhaft ist es in einem 
Netzwerksystem nach Anspruch 5, zu Oder von Einheit AE bis auf die Verbindung zwi- 
schen AS und Z keine weiteren logischen Verbindungen zu akzeptieren Oder aufzu- 
bauen, so daB die Autorisierungsdaten ausschlieBlich via Z und AS erreichbar sind. 
Abbildung 2b zeigt ein Ausfuhrungsbeispiel eines Netzwerksystems nach Anspruch 5 
bestehend aus zwei getrennten Netzwerksegmenten N1 (sicherheitskritisch) und N2 
(unkritisch). Nachrichten zwischen N1 und N2 werden nicht geroutet, so daB Einheiten 
des Segmentes N1 keine direkten Verbindungen zu Einheiten des Segmentes N2 auf- 
bauen konnen. Einheit ZE ist jeweils uber ein eigenes Netzwerkinterface mit Adresse IP1 
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bzw, IP2 sowohl mit Segment N1 als auch Segment N2 verbunden. Einheiten SE&AE in 
N1 sind uber die physikalischen Verbindungen PC11/12 mit dem Netzwerkinterface IP1 
der Einheit ZE verbunden. Einheit PE21 in N2 ist uber die physikalische Verbindung 
PC21 mit dem Netzwerkinterface IP2 der Einheit ZE verbunden. 

Einheit AE speichert Autorisierungsdaten AD und fuhrt Autorisierungsthread AS aus, wel- 
cher eine stehende logische Verbindung zu Z unterhalt. Dartiberhinaus warden keine 
weiteren Verbindungen von Threads auf AE aufgebaut Oder akzeptiert, so daB Autorisie- 
mngsdaten AD ausschlieBlich uber Z und AS zu erreichen sind. 

P21 ubermitteit nach einem Verbindungsaufbau zu Z seine Zugangsdaten an Z (1), Z lei- 
tet die Zugangsdaten an AS weiter (2), AS uberpruft die Zugangsdaten unter Berticksich- 
tigung der Autorisierungsdaten AD und teilt Z das Ergebnis der Uberprtifung mit (3). Fallt 
die Uberprtifung positiv aus, akzeptiert Z die Verbindung des Peripheriethreads andern- 
falls bricht Z die Verbindung ab (4). 

Fur Peripherieprozesse aus unkritischen Segmenten - unkritische Clients genannt - bil- 
den die freien Verbindungsendpunkte der Zentrale die einzigsten potentiellen Angriffs- 
punkte. Nachteilig wirkt sich bei einem Netzwerk nach einem der Ansprtiche 1 bis 5 aus, 
daB alien unkritischen Cients ein direkter Zugang zu einer Zentrale gewahrt wird, welche 
eine Verbindung zu einem sicherheitskritischen Service bereitstellt, ohne daB zuvor eine 
Sicherheitsuberprtifung des Clients stattgefunden hat (Anspruch 1) Oder daB die Zen- 
trale mit der Sicherheitsuberprtifung (teil-)belastet wird (Ansprtiche 4 und 5). Zweitens 
konnte ein Dauerangriff auf die freien Verbindungsendpunkte der Zentrale die Leistungs- 
fahigkeit des Systems stark beeintrachtigen, da die Zentrale in einem solchen Fall einen 
groBen Anteil ihrer Zeit mit Autorisierungsprtifungen und der Abwehr unberechtigter 
Angreifer verbringen muB. 

Die Nachteile eines Netzwerksystems nach Anspruchen 1 bis 5 werden durch ein Netz- 
-♦-^ werksystem nach Anspruch 6 derart behoben, daB nur eine separate Logonzentrale LZ, 
welche auf derselben oder einer anderen Zentraleinheit als die Zentrale Z ausgeftihrt 
wird, zu jedem Zeitpunkt einen freien Verbindungsendpunkt bereitstellt, zu welchem 
beliebige Peripherieprozesse eine Verbindung aufbauen konnen, und die Zentrale freie 
Verbindungsendpunkte nur nach Aufforderung seitens einer Logonzentrale autorisierten 
Peripherieprozessen fiir einen definierten Zeitraum bereitstellt. 

Abbildung 3a) zeigt ein Ausfuhrungsbeispiel eines Netzwerksystems nach Anspruch 6 
bestehend aus zwei getrennten Netzwerksegmenten N1 (sicherheitskritisch) und N2 
(unkritisch). Nachrichten zwischen N1 und N2 werden nicht geroutet, so daB Einheiten 
des Segmentes N1 keine direkten Verbindungen zu Einheiten des Segmentes N2 auf- 
bauen konnen. Einheit ZE ist jeweils uber ein eigenes Netzwerkinterface mit Adresse IP1 
bzw. IP2 mit anderen Einheiten der Segmente N1 bzw. N2 verbunden. Einheit SE in N1 



ist uber die physikalische Verbindung PC11 mit dem Netzwerkinterface mit Adresse IP1 
der Einheit ZE verbunden. Einheit PE21 in N2 ist uber die physikalische Verbindung 
PC21 mit dem Netzwerkinterface IP2 der Einheit ZE verbunden. 

Einheit ZE fiihrt zwei Prozesse Z und LZ aus, welche Ciber IP1 bzw. IP2 Verbindungen 
von Prozessen aus N1 wie N2 akzeptieren konnen. LZ stellt zu jedem Zeitpunkt minde- 
stens einen freien Verbindungsendpunkt unter einer fixen lokalen Kennung zur Verfu- 
gung. Die lokale Kennung der Verbindungsendpunkte von LZ sowie die Adresse IP1 
bzw. IP2 des Netzwerkinterfaces von ZE ist alien Peripherieprozessen in N1 bzw. N2 
bekannt, so daB Peripherieprozesse jederzeit eine Verbindung zu LZ aufbauen konnen. 
Wahrend des normalen Betriebes unterhalt Z nur jeweils stehende Verbindungen zu LZ, 
S und bereits verbundenen Peripherieprozessen und stellt keine freien Verbindungsend- 
punkte zur Verfugung. Verbindungswillige Peripherieprozesse aus N1 Oder N2 konnen 
ohne weiteres keine Verbindung zu Z aufbauen, da erstens Z keine freien Verbin- 
dungsendpunkte besitzt und zweitens die Peripherieprozesse nicht Ciber die Kenntnis 
der lokalen Kennung eines potentiellen Verbindungsendpunktes von Z verfugen. 
Der Verbindungsaufbau eines Peripherieprozesses P21 zu Z erfolgt wie in Abbildung 3a 
(logisch) und 3b (zeitlich) dargestellt: Zu Beginn kennt P21 lediglich die physikalische 
Kennung des Netzwerkinterfaces IP2 und die lokale Kennung der Verbindungsend- 
punkte von LZ, Diese Kenntnis genugt P21 , urn eine Verbindung zu LZ aufzubauen und 
LZ seine Zugangsdaten zu ubermittein (1). Daraufhin uberpruft LZ die Zugangsdaten 
anhand der Autorisierungsdaten AD. Nach positivem Ausfall der Uberprufung fordert LZ 
Z dazu auf, einen neuen Verbindungsendpunkt zur Verfugung zu stellen (2). Z kommt 
dieser Aufforderung nach und sendet LZ die lokale Kennung des neu bereitgestellten 
Verbindungsendpunktes (3), woraufhin LZdie lokale Kennung an P21 weiterieitet (4). Mit 
Kenntnis der Adresse des Netzwerkinterfaces IP2 sowie der von LZ erhaltenen lokalen 
Kennung des neuen Verbindungsendpunktes von Z kann P21 eine direkte Verbindung 
zu Z anfordern (5). Akzeptiert Z die Verbindungsanforderung, kommt die Verbindung zwi- 
schen P21 und Z zustande (6). Anderenfalls, Oder auch im Falle. daB die Verbindungs- 
anforderung von P21 an Z nicht innerhalb eines vordefinierten Zeitintervalles nach 
Bereitstellung des neuen Verbindungsendpunktes erfolgt, loscht Z den neuen Verbin- 
dungsendpunkt, womit das System seinen Ursprungszustand wieder erreicht und zu Z 
keine direkten Verbindungen aufgebaut werden konnen. 

Der Vorteil eines Netzwerksystems nach Anspruch 6 liegt darin, daB die Angriffsflache 
der Zentraie auf das kleinstmogliche MaB reduziert ist, ohne ihre Verbindungsfahigkeit 
zu beeintrachtigen: Um die Logonzentrale zu umgehen muB ein potentieller Angreifer 
wahrend des Zeitintervalles in welchem die Zentraie fur einen autorisierten Peripherie- 



prozeB einen freien Verbindungsendpunkt bereitstellt, vordem autorisierten Peripherie- 
prozeB eine Verbindung zu diesem Verbindungsendpunkt aufbauen. 
Anspruch 7 charakterisiert einen Spezialfall von Anspruch 6. in dem die Verbindung zwi- 
schen Logonzentrale und Zentrale durch eine stehende logische Verbindung realisiert 
wird, wodurcii nach dem Aufbau der Verbindung zwisciien Logonzentrale und Zentrale 
gewahrleistet werden kann, daB kein anderer ProzeB sich als vorgetauschte Logonzen- 
trale mit der Zentrale verbinden kann. 

In einem Netzwerksystem nach Anspruch 8 kann eine Logonzentrale zusatzlich eine 
Autorisierungsprufung verbindungswilliger Peripherieprozesse unabhangig von der Zen- 
trale vornehmen und die Zentrale nur nach positivem Ausfall dieser Prufung zur Bereit- 
stellung eines Verbindungsendpunktes auffordern. Dadurch wird die Zentrale stark von 
Autorisierungsaufgaben entlastet, Nachteilig wirkt sich jedoch aus, daB die Autorisie- 
rungsdaten auf jeder Zentraleinheit, welche eine Logonzentrale ausfuhrt, gespeichert 
sein mussen. Da diese Daten besonders sicherheitskritisch sind, ist es sinnvoll, sie nach 
dennselben Prinzip wie sicherheitskritische Daten in einem Netzwerk nach einem der 
Anspruche 1 bis 7 zu schutzen. 

In einem Netzwerksystem nach Anspruch 9 sind die Autorisierungsdaten auf eine sepa- 
rate Einheit im kritischen Segment N1 isoliert. welche uber einen Autorisierungsservice 
AS jeweils eine stehende logische Verbindung zu einer Logonzentrale und einer Zen- 
trale aufbaut und darCiberhinaus keine weiteren Verbindungen zu oder von anderen Pro- 
zessen aufbaut oder akzeptiert. Dies hat den Vorteil, daB die Autorisierungsdaten im 
kritischen Segment gespeichert werden, so daB sie aus unkritischen Segmenten nicht 
erreicht werden konnen und daB gegebenenfalls mehrere Logonzentralen auf dieselben 
Autorisierungsdaten zugreifen konnen, ohne die Daten replizieren zu mussen. 
Abbildung 4a) zeigt ein Ausfuhrungsbeispiel eines Netzwerksystems nach Anspruch 9 
bestehend aus zwei getrennten Netzwerksegmenten N1 und N2. Nachrichten zwischen 
N1 und N2 werden nicht geroutet, so daB Einheiten des Segmentes N1 keine direkten 
Verbindungen zu Einheiten des Segmentes N2 aufbauen konnen. Einheit ZE ist jeweils 
uber ein eigenes Netzwerkinterface mit Adresse IP1 bzw. IP2 mit anderen Einheiten der 
Segmente N1 bzw. N2 verbunden. Einheiten AE&SE in N1 sind uber die physikalischen 
Verbindungen PC11&PC12 mit dem Netzwerkinterface IP1 der Einheit ZE verbunden. 
Einheit PE21 in N2 ist uber die physikalische Verbindung PC21 mit dem Netzwerkinter- 
face IP2 der Einheit ZE verbunden. 

Einheit ZE fuhrt zwei Prozesse Z und LZ aus. welche uber IP1 bzw. IP2 Verbindungen 
von Prozessen aus N1 wie N2 akzeptieren konnen. LZ besitzt eine stehende Verbindung 
zu Autorisierungsservice AS auf AE und stellt zu jedem Zeitpunkt mindestens einen 
neuen Verbindungsendpunkt unter einer fixen lokalen Kennung zur Verfugung. Die 



- 10- 



lokale Kennung der Verbindungsendpunkte von LZ sowie die Adresse IP1 bzw. IP2 des 
Netzwerkinterfaces von ZE ist alien Peripherieprozessen in N1 bzw. N2 bekannt, so da3 
sie jederzeit eine Verbindung zu LZ aufbauen konnen. 

Z unterhalt wahrend des normalen Betriebes jeweils eine stehende Verbindung zu AS, S 
und bereits verbundenen Peripherieprozessen und stellt keine freien Verbindungsend- 
punkte zur Verfugung. Verbindungswiliige Peripherieprozesse aus N1 oder N2 konnen 
ohne weiteres keine Verbindung zu Z aufbauen, da erstens Z keine freien Verbin- 
dungsendpunkte besitzt und zweitens die Peripherieprozessen nicht Ciber die Kenntnis 
der lokalen Kennung eines potentiellen Verbindungsendpunktes von Z verfugen. 
Einheit AE speichert die sicherheitskritischen Autorisierungsdaten AD und fCihrt Autori- 
sierungsservice AS aus, welcher jeweils eine stehende logische Verbindung zu LZ und Z 
unterhalt. Dartiberhinaus konnen zu Oder von AS oder anderen Prozessen auf AE keine 
Verbindungen aufgebaut oder akzeptiert werden. so da(3 die Autorisierungsdaten AD 
ausschlieBlich uber AS zuganglich sind. 

Wichtig ist in diesem Fall, daB LZ und Z auf derselben Einheit ausgefuhrt werden, damit 
die Kommunikation zwischen LZ und Z nicht Ciber ein Netzwerk ubertragen werden muS, 
so daB die Kommunikation zwischen LZ und Z in keinem der Segmente abgehort wer- 
den kann. 

Der Verbindungsaufbau eines Peripherieprozesses P21 zu Z erfolgt wie in Abbildung 4a 
(logisch) und 4c (zeitlich) dargestellt: Zu Beginn kennt P21 lediglich die physikalische 
Kennung des Netzwerkinterfaces IP2 und die lokale Kennung der Verbindungsend- 
punkte von LZ. Diese Kenntnis genugt P21 , urn eine Verbindung zu LZ aufzubauen und 
LZ seine Identitat und Zugangsdaten zu ubermittein (1). LZ leitet diese Daten an AS wei- 
ter (2), AS uberprCift die Identitat und Zugangsdaten anhand der Autorisierungsdaten AD 
und fordert nach positivem Ausfall der Uberprufung Z dazu auf (3). einen neuen Verbin- 
dungsendpunkt zur Verfugung zu stellen. Z kommt dieser Aufforderung nach und sendet 
AS die lokale Kennung dieses Verbindungsendpunktes (4). AS leitet die lokale Kennung 
des neuen Verbindungsendpunktes via LZ an P21 weiter (5&6). Mit Kenntnis der 
Adresse des Netzwerkinterfaces IP2 sowie der von LZ erhaltenen lokalen Kennung des 
neuen Verbindungsendpunktes von Z fordert P21 eine direkte Verbindung zu Z an (7). 
Akzeptiert Z die Verbindungsanforderung, kommt die Verbindung zwischen P21 und Z 
zustande (8). Anderenfalls, oder auch im Falle, daB die Verbindungsanforderung von 
P21 an Z nicht innerhalb eines vordefinierten Zeitintervalles nach Bereitstellung des 
neuen Verbindungsendpunktes erfolgt, loscht Z den neuen Verbindungsendpunkt, womit 
das System seinen Ursprungszustand wieder erreicht und zu Z keine direkten Verbin- 
dungen aufgebaut werden konnen. 
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Abbildung 4b zeigt dasselbe logische Netzwerksystem wie Abbildung 4a, jedoch werden 
Logonzentrale LZ und Zentrale Z auf unterschiedlichen Einheiten LZE und ZE ausge- 
fuhrt, welche beide uber separate Netzwerkinterfaces mit Adressen L1P1&LIP2 bzw. 
IP1&IP2 mit den Segmenten N1 und N2 verbunden sind. 

In diesem Fall benotigt ein PeripherieprozeB aus N1 bzw. N2 fur den Verbindungsaufbau 
zu Z lediglich die Kenntnis der physikalischen Adresse des Netzwerkinterfaces LIP1 
bzw. LIP2 sowie die lokale Kennung eines freien Verbindungsendpunktes der Logonzen- 
trale. Die physikalische Adresse des Netzwerkinterfaces der Zentraleinheit ZE, welche 
einen freien Verbindungsendpunkt bereitstellt, wird einem autorisierten PeripherieprozeB 
zusammen mit der lokalen Kennung des bereitgestellten Verbindungsendpunktes von 
der Logonzentrale ubermittelt, woraufhin der PeripherieprozeB eine logische Verbindung 
zu Z aufbauen kann. 

Da LZ und Z auf verschiedenen Einheiten ausgefCihrt werden, muB eine mogliche Kom- 
munikation zwischen LZ und Z zwangslaufig zwischen den entsprechenden Einheiten 
libertragen werden. Dies kann entweder durch eine separate direkte Verbindung der 
Einheiten LZE und ZE oder uber eines der Segmente N1 Oder N2 erfolgen. Wichtig ist in 
diesem Fall, daB die Kommunikation zwischen LZ und Z nicht uber das unkritische Seg- 
ment N2 (also Netzwerkinterfaces LIP2 und IP2) abgewickelt wird, da sonst die Kommu- 
nikation zwischen LZ und Z in unkritischen Segmenten abgehort werden kann. In einem 
Netzwerksystem nach Abbildung 4b erfolgt die Kommunikation zwischen LZ und Z uber 
AS, so daB keine direkte Verbindung zwischen LZE und ZE erforderlich ist und die Nach- 
richten innerhalb N1 ubertragen werden. 

In Netzwerken nach einem der Anspruche 6 bis 9 ist die physikalische Adresse minde- 
stens eines Netzwerkinterfaces mindestens einer Zentrale, welche mindestens einen 
freien Verbindungsendpunkt bereitstellt, sowie die lokale Kennung des von genannter 
Zentrale bereitgestellten freien Verbindungsendpunktes den Peripheriethreads bekannt. 
Dabei konnen sowohl die physikalische Adresse, d.h. die Auswahl der Zentraleinheit, als 
auch die lokale Kennung entweder fest vorgegeben worden sein Oder dynamisch von 
einem verbindungswilligen Peripheriethread erzeugt und betroffener Zentrale via der 
Logonzentrale ubertragen werden. Die dynamische Auswahl einer Zentrale oder die 
dynamische Erzeugung der lokalen Kennung eines bereitzustellenden Verbindungsend- 
punktes hat den Vorteil, daB potentielle Angreifer die Verbindungsparameter nicht im 
Vorraus kennen und sie erst z.B.: durch "Port-Scannen" bestimmen mussen. Da das 
"Port-Scannen" eine bestimmte Zeitspanne benotigt, kann das Zeitintervall in welchem 
eine Zentrale freie Verbindungsendpunkte bereitstellt so kurz gewahit werden, daB die 
Zentrale unbenutzte freie Verbindungsendpunkte in den meisten Fallen schon vor ihrer 
Detektion durch einen Angreifer wieder geschlossen hat, autorisierte Peripheriethreads 
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jedoch mit Kenntnis der Verbindungsparameter ohne nennenswerte Zeitverzogerung 
direkt eine Verbindung aufbauen konnen. 

Besser ist es natiirlich, wenn die physikalische Adresse der Zentraleinheit einer einen 
freien Verbindungsendpunkt bereitstellenden Zentrale Oder die lokale Kennung eines 
bereitzustellenden Verbindungsendpunktes den Peripheriethreads unbekannt ist und sie 
mindestens einen dieser Verbindungsparameter erst nach einer positiv ausgefallenen 
Autorisierungsprtifung von der Logonzentrale erhalten (Anspruche 10 und 16). Dabei 
konnen einer der Parameter entweder durch eine Logonzentrale (Anspruche 11 und 17), 
eine Zentrale (Anspruche 12 und 18) oder einen Autorisienjngsservice (Anspruche 13 
und 19) erzeugt und via einer Logonzentrale an den verbindungswilligen Periphe- 
riethread ubermittelt werden. 

Besonders vorteilhaft ist eine zufallige Oder pseudozufallige Auswahl der Zentraleinheit 
(Anspruch 20) Oder eine zufallige oder pseudozufallige Erzeugung der lokalen Kennung 
(Anspruch 14) eines bereitzustellenden Verbindungsendpunktes. um zu verhindern, daS 
potentielle Angreifer die Parameter eines neu bereitgestellten Verbindungsendpunktes 
erraten oder berechnen. Eine zusatzliche Verschlusselung eines der Verbindungspara- 
meter wahrend der Ubertragung an einen PeripherieprozeB verhindert das Abhoren z.B.: 
durch "Sniffen" (Anspruche 15 und 21). 

Besonders vorteilhaft ist es, neben der dynamischen Erzeugung der lokalen Kennung 
eines bereitzustellenden Verbindungsendpunktes oder der dynamischen Auswahl einer 
Zentrale zusatzliche dynamische Zugangsdaten - z.B.: zufallige Einmalzugangsdaten - 
von der Logonzentrale. dem Autorisierungsservice oder der Zentrale erzeugen zu lassen 
und zusammen mit der physikalischen Adresse oder der lokalen Kennung einem autori- 
sierten PeripherieprozeB und gegebenenfalls der Zentrale zu ubermitteln. wobei der 
PeripherieprozeB nach Verbindungsaufbau zu einem bereitgestellten Verbindungsend- 
punkt einer Zentrale dieser Zentrale die von der Logonzentrale empfangenen dynami- 
schen Zugangsdaten zu seiner Identifikation ubermittelt, so daB die Zentrale uberprufen 
kann, ob der richtige PeripherieprozeB eine Verbindung zu ihr aufbaut. Auch fur die 
Ubertragung der dynamischen Zugangsdaten sind geeignete Verschlusselungsverfah- 
ren vorteilhaft anwendbar. 

Nachteilig in alien Netzwerksystemen nach Anspruchen 1 bis 21 ist die Tatsache, daB 
Service S auf alien seinen Verbindungen dasselbe Protokoll zur Verfugung stellt. UmfaBt 
dieses Protokoll reine Client-Funktionen, ist es unmoglich die Service-Daten von einer 
anderen Einheit zu pflegen und zu warten. UmfaBt das Protokoll hingegen auch Admi- 
nistrationsfunktionen, erhalten alle Peripherieprozesse die Moglichkeit auf diese Funktio- 
nalitat zuzugreifen. Dieses Problem kann durch zusatzliche Autorisierung von 
Administrationstransaktionen durch die jeweiligen Zentralen und/oder Autorisierungsser- 
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vices entscharft werden, jedoch ist es besser, normalen Peripherieprozessen grundsatz- 
lich keine Moglichkeit zu geben, auf Administrationsfunktionen zuzugreifen. wie in einem 
Netzwerksystem mit einem nach Anspruch 22 gearteten Service, welcher z.B.: auf einer 
Verbindung zu einer Zentrale nur Client-Funktionen und auf einer anderen Verbindung 
zu einer Administrationszentrale, welche nur aus dem kritischen Netzwerksegment 
erreichbar ist, Administrationsfunktionen bereitstellt. 

Die folgenden Anspruche cliarakterisieren Services, welche es eriauben, wahrend des 
Betriebes Protokolle an- bzw. abzuschalten (Anspruche 23 bis 25), zu laden Oder zu ent- 
laden (Anspruche 29 bis 31) sowie einzelne Funktionen von Protokollen an- bzw. abzu- 
schalten (Anspruche 26 bis 28). zu laden oder zu entladen (Anspruche 32 bis 34). 
Abbildung 5a zeigt ein Ausfuhrungsbeispiel eines Netzwerksystems nach Anspruch 22 
bestehend aus zwei getrennten Netzwerksegmenten N1 und N2. Nachrichten zwischen 
N1 und N2 werden nicht geroutet, so da(3 Einheiten des Segmentes N1 keine direkten 



Verbindungen zu Einheiten des Segmentes N2 aufbauen konnen. Einheit ZE ist jeweils 
uber ein eigenes Netzwerkinterface mit Adresse IP1 bzw. IP2 mit Segmenten N1 bzw. 
N2 verbunden. Einheiten AE&SE sind Bestandteil des Segmentes N1 und konnen von 
Einheiten aus N2 nicht en-eicht werden. Einheiten AE&SE in N1 sind uber die physikali- 
schen Verbindungen PC mit dem Netzwerkinterface IP1 der Einheit ZE sowie der Einheit 
AZE verbunden. 

Einheit ZE fiihrt Thread Z aus, welcher uber IP1 bzw. IP2 Verbindungen von Threads aus 
N1 wie N2 akzeptieren kann. Z besitzt jeweils eine stehende logische Verbindung zu 
Autorisierungsservice AS auf AE und zu Service S auf SE und stellt zu jedem Zeitpunkt 
mindestens einen neuen Verbindungsendpunkt unter einer fixen lokalen Kennung zur 
Verfugung. Die lokale Kennung der Verbindungsendpunkte von Z sowie die Adresse IP1 
^ ^ bzw. IP2 des Netzwerkinterfaces von ZE ist alien Peripherieprozessen in N1 bzw. N2 
bekannt, so daB Peripherieprozesse jederzeit eine Verbindung zu Z aufbauen konnen. 
Einheit AZE fuhrt ProzeB AZ aus, welcher nur Verbindungen von Prozessen aus N1 
akzeptiert. AZ besitzt eine stehende logische Verbindung zu Autorisierungsservice AS 
auf AE und zu Sen/ice S auf SE und stellt zu jedem Zeitpunkt mindestens einen neuen 
Verbindungsendpunkt unter einer fixen lokalen Kennung zur Verfugung. Die lokale Ken- 
nung der Verbindungsendpunkte von AZ sowie die physikalische Adresse der Einheit SE 
ist alien Administrationsprozessen Ain N1 bekannt, so daf3 sie jederzeit eine Verbindung 
zu AZ aufbauen konnen. 
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Einheit AE speichert sicherheitskritische Autorisieaingsdaten AD und fuhrt Autorisie- 
rungsservice AS aus, welcher jeweils eine stehende logische Verbindung zu AZ und Z 
unterhalt. Diese beiden Verbindungen sind die einzigsten logischen Verbindungen zu 
bzw. von Threads auf Einheit AE. 

Einheit SE speichert sicherheitskritische Daten SD und fuhrt ProzeB S aus, welcher 
jeweils eine stehende logische Verbindung zu AZ und Z unterhalt. Diese beiden Verbin- 
dungen sind die einzigsten logischen Verbindungen zu bzw. von Threads auf Einheit SE. 
Fur die Verbindung zu Z stellt S das Peripherieprotokoll PP bereit. welches Peripherie- 
prozeB P via Z den Zugriff auf Daten SD gestattet. Dabei kontrolliert das Peripherieproto- 
koll PP die Funktionalitat, welche S den Peripherieprozessen zur Verfugung stellt. 
Transaktionen von Peripherieprozessen zu S konnen bei Bedarf von Z durch AS autori- 
siert werden. 

Auf der Verbindung zu AZ stellt S das AdministrationsprotokotI AP bereit, welches A via 
AZ eriaubt, die Daten SD zu pflegen. Transaktionen von Administrationsprozessen von A 
zu S konnen bei Bedarf von AZ durch AS autorisiert werden. 

Der Zugriff auf Funktionen des Administrationsprotokolls von S ist somit ausschlieBlich 
Peripherieprozessen von AZ gestattet, welche zwingend aus N1 stammen mussen, da 
Einheiten aus N2 keinen Zugriff auf AZE haben. Da ferner keine logische Verbindung 
zwischen Z und AZ besteht, konnen Peripherieprozesse aus N2 weder direkt noch indi- 
rekt Kontakt mit AZ aufnehmen und erhalten somit keinen Zugriff auf das Administrati- 
onsprotokoll AP von S. 

Abbildung 5b illustriert das Tinning einer autorisierten Administrationstransaktion von A 
zu S in einem System nach Abbildung 5a. Nachrichten 1-4 bilden den Verbindungsauf- 
bau von Azu AZ, welcher von AS autorisiert wird (2&3). 

Zu Beginn der Administrationstransaktion schickt A via AZ eine Anforderung mit seinen 
Identitatsdaten an AS zur Bereitstellung eines Schlussels zur VerschlCisselung der 
Zugangsdaten (5&6). AS uberpruft die Identitat und erzeugt einen neuen Einmalschlus- 
sel, welchen AS temporar speichert und via AZ an Azuriicksendet (7&8). A verschlusselt 
seine Zugangsdaten mit dem empfangenen EinmalschlCissel und schickt die Transak- 
tionsaufforderung zusammen mit seiner Identitat. den Transaktions- und den verschliis- 
selten Zugangsdaten an AZ (9). AZ leitet die Identitat, die verschlusselten Zugangsdaten 
und die logische Qualitat der Transaktion an AS weiter (10). AS entschlusselt die 
Zugangsdaten mit Hilfe des gespeicherten Einmalschlussels und uberpruft die Korrekt- 
heit der Zugangsdaten sowie die Autorisierung der Transaktion fur A. Fallt diese Prufung 
positiv aus, sendet AS eine Autorisierungsbestatigung an AZ, woraufhin AZ die Transak- 
tionsaufforderung an S weiterleitet (12). S fuhrt die Transaktion aus und sendet ihr 
Resultat via AZ an A zuruck (1 3&1 4). 



Schutz von sicherheitskritischen 
Daten in Netzwerken 



Patentanspruche 



Netzwerksystem bestehend aus mindestens einer Zentraleinheit ZE, mindestens 
einer Serviceeinheit SE, welche physikalisch mit ZE verbunden ist, und einer belie- 
bigen Anzahl physikalisch mit ZE verbundenen Peripherieeinheiten PE1..n, 
dadurch gekennzeichnet, daB erstens ZE mindestens einen Thread - Zentrale 
genannt SE mindestens einen Thread - Service genannt - und die Peripherie- 
oder Zentraleinheiten beliebig viele Peripheriethreads ausfuhren, zweitens minde- 
stens ein Service mindestens eine stehende logische bidirektionale Kommunikati- 
onsverbindung zu mindestens einer Zentrale aufbauen oder von mindestens einer 
Zentrale akzeptieren kann, drittens uber genannte Verbindung(en) zwischen Ser- 
vice(s) und Zentrale(n) hinaus keine weiteren logischen Verbindungen zu Threads, 
welche auf SE ausgefuhrt werden, aufgebaut werden konnen oder von Threads, 
welche auf SE ausgefuhrt werden, aufgebaut werden, und viertens direkte logische 
Kommunikationsverbindungen zwischen Peripheriethreads, welche auf einer Peri- 
pherieeinheit oder einer Zentraleinheit ausgefuhrt werden, und ZE aufbaubar sind, 
so daB Daten, welche auf SE gespeichert sind, fur die Zentrale(n) ausschlieBlich 
uber mindestens einen Service und fur die Peripheriethreads ausschlieBlich uber 
mindestens eine der Zentralen und mindestens einen Service erreichbar sind. 

Netzwerksystem nach Anspruch 1 , dadurch gekennzeichnet, daB mindestens eine 
Zentrale mindestens einer Verbindung mindestens eines mit genannter Zentrale 
verbundenen Services mindestens eine logische Kennung derart zuordnet, daB 
mindestens ein Peripheriethread allein aufgrund dieser logischen Kennung(en) 
indirekt uber die Zentrale mit mindestens einem Mitglied einer durch die logische 
Kennung(en) eindeutig bestimmten Gruppe von Services kommunizieren kann. 



Netzwerksystem nach einem der Anspruche 1 oder 2 bestehend aus mindestens 
zwei Segmenten N1 und N2. mindestens einer Zentraleinheit ZE, welche nnit jedem 
Segment N1 und N2 physikalisch verbunden ist, mindestens einer Serviceeinheit 
SE, welche direkt oder als Bestandteil des Segmentes N1 physikalisch mit ZE ver- 
bunden ist und einer beliebigen Anzahl uber Segmente N1 oder N2 physikalisch 
mit ZE verbundenen Peripherieeinheiten PE1..n, dadurch gekennzeichnet, daB 
direkte logische Kommunikationsverbindungen zwischen Peripheriethreads, wel- 
che auf einer Peripherieeinheit aus N1 oder N2 oder einer Zentraleinheit ausge- 
fuhrt werden, und ZE aufbaubar sind, wobei die Zentraleinheit(en) direkte logische 
Verbindungen sowohl zu Einheiten aus N1 als auch N2 aufbauen oder akzeptieren 
kann(k6nnen), und wobei Einheiten aus N1 keine direkten logischen Verbindungen 
zu Einheiten aus N2 mit Ausnahme der Zentraleinheit(en) und Einheiten aus N2 
keine direkten logischen Verbindungen zu Einheiten aus N1 mit Ausnahme der 
Zentraleinheit(en) aufbauen konnen, und wobei Einheiten aus N1 keine direkten 
logischen Verbindungen von Einheiten aus N2 mit Ausnahme der Zentraleinhei- 
t(en) und Einheiten aus N2 keine direkten logischen Verbindungen von Einheiten 
aus N1 mit Ausnahme der Zentraleinheit(en) akzeptieren konnen. 

Netzwerksystem nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, daB 
Zentraleinheit ZE Autorisierungsdaten AD speichert und da(3 mindestens ein Peri- 
pheriethread nach Verbindungsaufbau zur Zentrale Z auf ZE der Zentrale Z 
Zugangsdaten Cibermittelt, Z anhand der empfangenen Zugangsdaten und ihr vor- 
liegender Autorisierungsdaten AD die Zugangsberechtigung des genannten Peri- 
pheriethreads uberpruft und nach negativem Ausfall genannter Zugangsprufung 
die Verbindung zu genanntem Peripheriethread abbricht. 

Netzwerksystem nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, da(3 
auf mindestens einer Einheit AE, welche direkt oder indirekt physikalisch mit ZE 
verbunden ist, Autorisierungsdaten AD gespeichert sind, und daB AE mindestens 
einen Autorisierungsthread AS ausfuhrt, welcher eine stehende logische bidirektio- 
nale Verbindung zu oder von Z aufbaut oder akzeptiert, und daB mindestens ein 
Peripheriethread nach dem Verbindungsaufbau zu Zentrale Z der Zentrale Z 
Zugangsdaten Cibermittelt, Z genannte Zugangsdaten empfangt und an AS weiter- 
leitet, AS anhand der empfangenen Zugangsdaten und der Autorisierungsdaten AD 
die Zugangsberechtigung des genannten Peripheriethreads uberpruft und das 
Ergebnis dieser UberprCifung an Z mitteilt, und daB Z bei negativem Ausfall der 
Zugangsuberprufung die Verbindung zu genanntem Peripheriethread abbricht. 



Netzwerksystem nach Anspruch 1 , dadurch gekennzeichnet, daR mindestens eine 
Zentraleinheit mindestens einen Thread - Logonzentrale genannt - ausfuhrt, wel- 
cher zu jedem Zeitpunkt mindestens einen freien Verbindungsendpunkt unter einer 
fixen lokalen Kennung bereitstellt. und daB keine der Zentrale(n) freie logische Ver- 
bindungsendpunkte zur Verfugung stellen, ohne zuvor von einer Logonzentrale 
dazu aufgefordert worden zu sein, und da3 mindestens ein Peripheriet bread zum 
Verbindungsaufbau mit einer Zentrale zunachst eine Verbindung zu einer Logon- 
zentrale aufbaut, die Logonzentrale uber ein beliebiges Interthread- Oder Interpro- 
zeBkommunikationsmedium mindestens eine Zentrale, welche auf einer 
Zentraleinheit ausgefuhrt wird, deren physikalische Adresse genanntem Periphe- 
riethread bekannt ist. auffordert, einen freien Verbindungsendpunkt bereitzustellen, 
mindestens eine der aufgeforderten Zentralen einen freien Verbindungsendpunkt 
fur einen definierten Zeitraum unter einer genanntem Peripheriethread bekannten 
lokalen Kennung zur Verfugung stellt, genannter Peripheriethread innerhalb des 
genannten Zeitraumes eine Verbindung zu mindestens einem der neu bereitge- 
stellten freien Verbindungsendpunkte mindestens einer Zentrale aufbaut, und daB 
jede Zentrale alle bereitgestellten freien Verbindungsendpunkte wieder loscht, zu 
denen der verbindungswillige Peripheriethread innerhalb des genannten definier- 
ten Zeitraumes keine Verbindung aufbaut. 

Netzwerksystem nach Anspruch 6, dadurch gekennzeichnet, daB das Kommunika- 
tionsmedium zwischen mindestens einer Logonzentrale und mindestens einer Zen- 
trale eine stehende logische Verbindung ist. 

Netzwerksystem nach einem der Anspriiche 6 oder 7, dadurch gekennzeichnet, 
daB mindestens ein Peripheriethread der Logonzentrale seine Zugangsdaten uber- 
mittelt, die Logonzentrale anhand der ihr ubermittelten Zugangsdaten und ihr zur 
Verfugung stehenden Autorisierungsdaten die Zugangsberechtigung des genann- 
ten Peripheriethreads uberpaift und erst nach positivem Ausfall der Zugangspru- 
fung mindestens eine der Zentralen auffordert, einen freien Verbindungsendpunkt 
bereitzustellen. 

Netzwerksystem nach Anspruch 6, dadurch gekennzeichnet, daB mindestens eine 
Einheit AE Autorisierungsdaten abgespeichert, und daB jede der Einheit(en) AE 
eine physikalische Verbindung zu mindestens einer Zentraleinheit besitzt(en), und 
daB jede der Einheit(en) AE einen Autorisierungsservice AS ausfuhrt(en), welcher 
stehende logische Verbindungen zu oder von mindestens einer Logonzentrale und 
mindestens einer Zentrale aufbauen oder akzeptieren kann, ein Peripheriethread 
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nach Verbindungsaufbau zu einer Logonzentrale dieser Logonzentrale seine 
Zugangsdaten sendet, die Logonzentrale jede einkommende Verbindungsanforde- 
njng eines Peripheriethreads zusammen mit den empfangenen Zugangsdaten des 
Peripheriethreads an den Autorisierungsservice weiterleitet, der Autorisierungsser- 
vice anhand der empfangenen Zugangsdaten und den Autorisieaingsdaten die 
Zugangsberechtigung des Perhipheriethreads uberpruft und bei positivem Ausfall 
genannter Zugangsuberprufung mindestens eine Zentrale auffordert, einen freien 
Verbindungsendpunkt bereitzustellen, mindestens eine der aufgeforderten Zentra- 
len einen freien Verbindungsendpunkt fur einen definierten Zeitraum unter einer 
genanntem Peripheriethread bekannten lokalen Kennung bereitstellt, der Periphe- 
riethread innerhalb des genannten Zeitraumes eine Verbindung zu mindestens 
einem der neu bereitgestellten freien Verbindungsendpunkte mindestens einer 
Zentrale aufbaut, und daB jede Zentrale alle bereitgestellten freien Verbin- 
dungsendpunkte wieder loscht, zu denen der verbindungswillige Peripheriethread 
nicht innerhalb des genannten definierten Zeitraumes eine Verbindung aufbaut. 

10. Netzwerksystem nach einem der Anspruche 6 bis 9, dadurch gekennzeichnet, daB 
mindestens einem Peripheriethread die lokale Kennung mindestens eines von min- 
destens einer Zentrale bereitgestellten Verbindungsendpunktes unbekannt ist und 
genannter Peripheriethread genannte lokale Kennung von mindestens einer 
Logonzentrale ubermittelt bekommt 

11. Netzwerksystem nach Anspruch 10, dadurch gekennzeichnet, daB mindestens 
eine Logonzentrale mindestens eine lokale Kennung mindestens eines bereitzu- 
stellenden freien Verbindungsendpunktes erzeugt und sowohl mindestens einem 
verbindungswilligen Peripheriethread als auch mindestens einer mindestens einen 
Verbindungsendpunkt bereitstellenden Zentrale ubermittelt. 

12. Netzwerksystem nach Anspruch 10, dadurch gekennzeichnet, daB mindestens 
eine Zentrale mindestens eine lokale Kennung mindestens eines bereitzustellen- 
den freien Verbindungsendpunktes erzeugt und via mindestens einer Logonzen- 
trale mindestens einem verbindungswilligen Peripheriethread ubermittelt. 

13. Netzwerksystem nach Anspruchen 9 und 10, dadurch gekennzeichnet, daB minde- 
stens ein Autorisierungsservice mindestens eine lokale Kennung mindestens eines 
bereitzustellenden freien Verbindungsendpunktes erzeugt und sowohl via minde- 
stens einer Logonzentrale mindestens einem verbindungswilligen Peripheriethread 
als auch mindestens einer mindestens einen Verbindungsendpunkt bereitstellen- 
den Zentrale ubermittelt. 
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14. Netzwerksystem nach einem der Anspriiche 9 bis 13, dadurch gekennzeichnet, 
daB mindestens eine lokale Kennung von mindestens einem von mindestens einer 
Zentrale bereitzustellenden freien Verbindungsendpunkt zufallig Oder pseudozufal- 
llg erzeugt wird. 

15. Netzwerksystem nach einem der Anspruche 9 bis 14, dadurch gekennzeichnet, 
daB die lokale Kennung verschlusselt ubertragen wird. 

16. Netzwerksystem nach einem der Anspruche 6 bis 15, dadurch gekennzeichnet, 
daB mindestens einem Peripheriethread die physikalische Adresse des Netzwerk- 
interfaces mindestens einer Zentraleinheit unbekannt ist und genannter Periphe- 
riethread die physikalische Adresse mindestens eines Netzwerkinterfaces 
mindestens einer Zentraleinheit, welche mindestens eine mindestens einen freien 
Verbindungsendpunkt bereitstellende Zentrale ausfuhrt, von mindestens einer 
Logonzentrale ubermittelt bekommt. 

17. Netzwerksystem nach Anspruch 16, dadurch gekennzeichnet, daB mindestens 
eine Logonzentrale mindestens eine mindestens einen freien Verbindungsend- 
punkt bereitstellende Zentrale Z1 auswahit und mindestens einem verbindungswil- 
ligen Peripheriethread die physikalische Adresse mindestens eines Netzwerk- 
interfaces der Z1 ausfuhrenden Zentraleinheit ubermittelt. 

18. Netzwerksystem nach Anspruch 16, dadurch gekennzeichnet, daB mindestens 
eine Zentrale mindestens eine mindestens einen freien Verbindungsendpunkt 
bereitstellende Zentrale Z1 auswahit und mindestens einem verbindungswilligen 
Peripheriethread via mindestens einer Logonzentrale die physikalische Adresse 
mindestens eines Netzwerkinterfaces der Z1 ausfuhrenden Zentraleinheit ubermit- 
telt. 

19. Netzwerksystem nach Anspruchen 9 und 16, dadurch gekennzeichnet, daB minde- 
stens ein Autorisierungservice mindestens eine mindestens einen freien Verbin- 
dungsendpunkt bereitstellende Zentrale Z1 auswahit und mindestens einem 
verbindungswilligen Peripheriethread via mindestens einer Logonzentrale die phy- 
sikalische Adresse mindestens eines Netzwerkinterfaces der Z1 ausfuhrenden 
Zentraleinheit ubermittelt. 

20. Netzwerksystem nach einem der Anspruche 16 bis 19, dadurch gekennzeichnet, 
daB die Auswahl der Zentrale zufallig Oder pseudozufallig erfolgt. 



21. Netzwerksystem nach einem der Anspruche 10 bis 14, dadurch gekennzeichnet, 
da0 die physikalische Adresse mindestens eines Netzwerkinterfaces mindestens 
einer Zentraleinheit, welche mindestens einen freien Verbindungsendpunkt bereit- 
stellt, verschlusselt Cibertragen wird. 

22. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
da6 mindestens ein Sen/ice zu oder von mindestens zwei Zentralen jeweils minde- 
stens eine stehende logische Verbindung aufbaut oder akzeptiert, wobei genannter 
Service auf mindestens zwei seiner Verbindungen unterschiedliche Protokolle zur 
Verfugung stellt. 

23. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
da3 mindestens eines der Protokolle mindestens eines Services wahrend des 
Betriebes angeschaltet werden kann. 

24. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
daB mindestens eines der Protokolle mindestens eines Services wahrend des 
Betriebes abgeschaltet werden kann. 

25. Netzwerksystem nach einem der Anspruche 23 oder 24 dadurch gekennzeichnet, 
da3 das An- oder Abschalten eines Protokolles durch mindestens eine Funktion 
eines Protokolles gesteuert werden kann. 

26. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
da(3 mindestens eine Funktion mindestens eines Protokolles mindestens eines 
Services wahrend des Betriebes angeschaltet werden kann. 

27. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
da3 mindestens eine Funktion mindestens eines Protokolles mindestens eines 
Services wahrend des Betriebes abgeschaltet werden kann. 

28. Netzwerksystem nach einem der Anspruche 26 oder 27 dadurch gekennzeichnet, 
daB das An- oder Abschalten mindestens einer Funktion eines Protokolles durch 
mindestens eine Funktion eines Protokolles gesteuert werden kann. 

29. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
daB mindestens eines der Protokolle mindestens eines Services wahrend des 
Betriebes in den AdreBraum des betroffenen Services geladen werden kann. 
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30. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
daB mindestens eines der Protokoile mindestens eines Services wahrend des 
Betriebes aus dem AdreBraum des betroffenen Services entladen werden kann, so 
daB alle Funktionen eines entladenen Protokolles erst nach einem erneuten Laden 
wieder im AdreBraum des betroffenen Services ansprechbar sind. 

31. Netzwerksystem nach einem der Anspruche 29 Oder 30 dadurch gekennzeichnet, 
daB das Laden oder Entladen mindestens eines Protokolles durch mindestens eine 
Funktion eines Protokolles gesteuert werden kann. 

32. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
daB mindestens eine Funktion mindestens eines Protokolles mindestens eines 
Services wahrend des Betriebes in den AdreBraum des betroffenen Services gela- 
den werden kann. 

33. Netzwerksystem nach einem der vorherigen Anspruche dadurch gekennzeichnet, 
daB mindestens eine Funktion mindestens eines Protokolles mindestens eines 
Services wahrend des Betriebes aus dem AdreBraum des betroffenen Services 
entladen werden kann, so daB die Funktion erst nach einem erneuten Laden wie- 
der im AdreBraum des betroffenen Services ansprechbar ist. 

34. Netzwerksystem nach einem der Anspruche 32 oder 33 dadurch gekennzeichnet, 
daB das Laden oder Entladen mindestens einer Funktion eines Protokolles durch 
mindestens eine Funktion eines Protokolles gesteuert werden kann. 



Schutz von sicherheitskritischen 
Daten in Netzwerken 



Zusammenfassung 

1- Schutz von sicherheitskritischen Daten in Netzwerken 

2.1- Bestehende Netzwerksysteme nach dem Client/Server-Prinzip erfordern auf der 
Serverseite stets die Bereitstellung von freien Verbindungsendpunkten. Die groBe 
Anzahl von Serverprozessen hat eine groBe Anzahl von freien Verbindungsendpunkten 
zur Folge. Jeder freie Verbindungsendpunkt ist jedoch ein potentieller Angriffspunkt fur 
boswillige Clients. Aufgabe der vorliegenden Erfindung ist es, das Risiko eines Einbru- 
ches in ein Netzwerk mit sicherheitskritischen Daten zu minimieren. 

2.2. Die vorliegende Erfindung realisiert die unter 2.1 genannte Aufgabe durch Minimie- 
rung der Anzahl freier Verbindungsendpunkte, deren zeitlich beschrankte Bereitstellung, 
der zufalligen Auswahl ihrer lokalen Kennungen und durch gleichzeitige Isolierung 
sicherheitskritischer Daten auf Einheiten, welche nach Aufbau vordefinierter stehender 
Verbindungen keine freien Verbindungsendpunkte mehr zur Verfugung stellen. Dies ver- 
hindert einen unkontrollierten Verbindungsaufbau zu Einheiten, welche sicherheitkriti- 
sche Daten speichern, und bietet dennoch die Moglichkeit, kontrolliert auf die 
sicherheitskritischen Daten aus dem Netzwerk zuzugreifen. Unterschiedliche Protokolle 
auf unterschiedlichen Verbindungen eines Services, welcher den Zugriff auf die sicher- 
heitskritischen Daten uberwacht, eriauben es sogar, die sicherheitskritischen Daten aus 
dem Netzwerk zu administrieren, ohne daB Administrationsfunktionen normalen Clients 
zuganglich sind. 

2.3. Sicherheitskritische Daten, Sicherheitskritische Netzwerke, Internet-Sicherheit, 
Intranet-Sicherheit, Extranet-Sicherheit, Electronic-Commerce, Bereitstellen geschutzter 
Daten in Netzwerken. 
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